Surveillance du comportement dans Microsoft Defender Antivirus sur macOS

S’applique à :

• Microsoft Defender pour XDR
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour les PME
• Microsoft Defender pour les particuliers
• Antivirus Microsoft Defender
• Versions prises en charge de macOS

Importante

Certaines informations concernent le produit en préversion qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Vue d’ensemble de la surveillance du comportement

La surveillance du comportement surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des démons et des fichiers au sein du système. Comme la surveillance du comportement observe le comportement du logiciel en temps réel, il peut s’adapter rapidement aux menaces nouvelles et évolutives et les bloquer.

Configuration requise

• L’appareil doit être intégré à Microsoft Defender pour point de terminaison.
• Les fonctionnalités en préversion doivent être activées dans le portail Microsoft Defender.
• L’appareil doit se trouver dans le canal bêta (anciennement InsiderFast).
• Le numéro de version Microsoft Defender pour point de terminaison minimal doit être bêta (Insiders-Fast) : 101.24042.0002 ou version ultérieure. Le numéro de version fait référence à ( app_version également appelé mise à jour de plateforme).
• La protection en temps réel (RTP) doit être activée.
• La protection fournie par le cloud doit être activée.
• L’appareil doit être inscrit explicitement dans le programme en préversion.

Instructions de déploiement pour la surveillance du comportement

Pour déployer la surveillance du comportement dans Microsoft Defender pour point de terminaison sur macOS, vous devez modifier la stratégie de surveillance du comportement à l’aide de l’une des méthodes suivantes :

• Intune
• JamF ou autre GPM non-Microsoft
• Manuellement

Les sections suivantes décrivent chacune de ces méthodes en détail.

déploiement Intune

1. Copiez le code XML suivant pour créer un fichier .plist et enregistrez-le sous BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Ouvrez Profilsde configurationdes appareils>.

3. Sélectionnez Créer un profil , puis nouvelle stratégie.

4. Donnez un nom au profil. Remplacez Platform=macOS parType de profil=Modèles et choisissez Personnalisé dans la section nom du modèle. Sélectionnez Configurer.

5. Accédez au fichier plist que vous avez enregistré précédemment et enregistrez-le sous com.microsoft.wdav.xml.

6. Entrez com.microsoft.wdav comme nom de profil de configuration personnalisé.

7. Ouvrez le profil de configuration, chargez le com.microsoft.wdav.xml fichier, puis sélectionnez OK.

8. Sélectionnez Gérer les>affectations. Sous l’onglet Inclure , sélectionnez Affecter à tous les utilisateurs & Tous les appareils ou à un groupe d’appareils ou à un groupe d’utilisateurs.

Déploiement JamF

1. Copiez le code XML suivant pour créer un fichier .plist et enregistrez-le en tant que Enregistrer sous BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. DansProfils de configurationdes ordinateurs>, sélectionnez Options>Applications & Paramètres personnalisés,

3. Sélectionnez Charger un fichier (fichier .plist ).

4. Définir le domaine de préférence sur com.microsoft.wdav

5. Chargez le fichier plist enregistré précédemment.

Pour plus d’informations, consultez : Définir des préférences pour Microsoft Defender pour point de terminaison sur macOS.

Déploiement manuel

Vous pouvez activer l’analyse du comportement sur Microsoft Defender pour point de terminaison sur macOS en exécutant la commande suivante à partir du terminal :

sudo mdatp config behavior-monitoring --value enabled

Pour désactiver :

sudo mdatp config behavior-monitoring --value disabled

Pour plus d’informations, consultez Ressources pour Microsoft Defender pour point de terminaison sur macOS.

Pour tester la détection de la surveillance du comportement (prévention/blocage)

Consultez Démonstration de l’analyse du comportement.

Vérification des détections de surveillance du comportement

Les Microsoft Defender pour point de terminaison existantes sur l’interface de ligne de commande macOS peuvent être utilisées pour passer en revue les détails et les artefacts de surveillance du comportement.

sudo mdatp threat list

Questions fréquentes (FAQ)

Que se passe-t-il si je constate une augmentation de l’utilisation du processeur ou de la mémoire ?

Désactivez la surveillance du comportement et vérifiez si le problème disparaît.

• Si le problème ne disparaît pas, il n’est pas lié à la surveillance du comportement.
• Si le problème disparaît, téléchargez l’analyseur de client XMDE, puis contactez le support Microsoft.

Inspection en temps réel du réseau pour macOS

Importante

Certaines informations concernent le produit en préversion qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

La fonctionnalité d’inspection en temps réel du réseau (NRI) pour macOS améliore la protection en temps réel (RTP) en utilisant la surveillance du comportement conjointement avec les fichiers, les processus et d’autres événements pour détecter les activités suspectes. La surveillance du comportement déclenche des données de télémétrie et des envois d’exemples sur des fichiers suspects que Microsoft doit analyser à partir du back-end de protection cloud, et est remis à l’appareil client, ce qui entraîne la suppression de la menace.

Y a-t-il un impact sur les performances ?

NRI doit avoir un faible impact sur les performances du réseau. Au lieu de conserver la connexion et de bloquer, NRI effectue une copie du paquet à mesure qu’il traverse le réseau, et NRI effectue une inspection asynchrone.

Remarque

Lorsque l’inspection en temps réel du réseau (NRI) pour macOS est activée, vous pouvez constater une légère augmentation de l’utilisation de la mémoire.

Configuration requise pour L’INR pour macOS

• L’appareil doit être intégré à Microsoft Defender pour point de terminaison.
• Les fonctionnalités en préversion doivent être activées dans le portail Microsoft Defender.
• L’appareil doit se trouver dans le canal bêta (anciennement InsiderFast).
• Le numéro de version minimal pour le numéro de version de Defender pour point de terminaison doit être bêta (Insiders-Fast) : 101.24092.0004 ou version ultérieure. Le numéro de version fait référence à ( app version également appelé mise à jour de plateforme).
• La protection en temps réel doit être activée.
• La surveillance du comportement doit être activée.
• La protection fournie par le cloud doit être activée.
• L’appareil doit être inscrit explicitement dans la préversion.

Instructions de déploiement pour NRI pour macOS

1. Contactez-nous par e-mail avec NRIonMacOS@microsoft.com des informations sur votre Microsoft Defender pour point de terminaison OrgID où vous souhaitez que l’inspection en temps réel du réseau (NRI) pour macOS soit activée.

   Importante

   Pour évaluer l’IRN pour macOS, envoyez un e-mail à NRIonMacOS@microsoft.com. Incluez votre ID d’organisation Defender pour point de terminaison. Nous activons cette fonctionnalité par demande pour chaque locataire.

2. Activez la surveillance du comportement si elle n’est pas déjà activée :

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Activer la protection réseau en mode bloc :

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Activer l’inspection en temps réel du réseau (NRI) :

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Remarque

   Bien que cette fonctionnalité soit en préversion et que le paramètre est défini à l’aide de la ligne de commande, l’inspection en temps réel du réseau (NRI) ne persiste pas après les redémarrages. Vous devez le réactiver.